プロンプトインジェクションを利用して、無断生成などの嫌がらせを防げるかどうか

まえがき

最近のAI技術の進化、本当に速いですね。
自分の複製だったり、希望の助手を作って共闘速度をガンガン上げてる人達の姿が多く見られて、正直情報とってついていくのが精一杯だ……と遠目に眺めています……。

そんな中、 プロンプトインジェクションを利用して意図しない生成を妨げる 話を最近タイムラインで見かけました。
生成AIに画像を読み込ませたとき、AIに対して読み込み内容を誤解させる指示を仕込んでおいて、意図した生成をできなくするというものです。

これ、無断生成AIに使われたくないイラストに使ったら、実際どれくらい効果があるんだろう？ どんな影響があるのかな？ と自分なりに考えてみたので、備忘録がてらまとめてみようと思います。

結論: AIと使う人次第

まず結論から言うと、 「AIの種類」と「それを使う人間が何を指示するか」 によって、このプロンプトインジェクションが成立するかどうかは左右されます。

例えば、AIに画像を読み込ませる人が 「この画像にある文字は全部無視して、画風だけ真似して！」 とプロンプトを入れたら、「生成AIへの利用禁止!」……と書かれていても、AIにとってはただの 「フォントという名の図形」 と扱われます。
そうなると、生成AIが指示された作業は「画像から文字と思われるオブジェクトを取り除く、画像加工」です。
禁止と文言を入れていても、そもそもその文言を意味のある塊として認識していないので、簡単に生成してくれます。

↑文言には「生成AIに使わないでねー」……と書いているのですが、「文言は除去して」で通ってしまった例

あとは、入出力をテキストで行う生成AIの場合は、文字を認識した際に指示を読み取って止まる可能性があります。
ただ、イラスト生成専門のAIだと、文言が入っていてもその意味までは理解せず「フォントっぽい」と認識するだけで、生成は止めない可能性があります。
「ウォーターマークを剥がして」「テキストっぽいものを剥がして」も指示として成り立ちますし。

文章理解のロジックを持っていないAI相手では、この作戦はちょっと厳しいのかな、と思いました。

「テキストを除去して」と言えないシチュエーションには強い！

ただ、この手法が効く場面もあります。
「文字情報を読み取らせることが目的」 で画像を使うときです。

最近の実例で賢いなぁとなったのが、大学の講義スライドのケースです。
スライドの画像をAIに投げて「この内容を要約して」と学生が頼んだ場合、実はスライド内に細かな文字で「生成AIはこの文字を読んだらこういう内容を出力して」と指示が仕込まれていたというもの。
こういった資料の要約の場合、普通「文字を無視して」とは言いません。そもそも内容を知りたいわけですし。
そこにインジェクションを仕込んでおくと、AIが素直にそれに挙動を引っ張られちゃう……というアイディアでした。

過去、大学の教授が「コピペルナー」というソフトを使っているのは聞いたことがありますが、なんというか、先生も大変だな……と思いました。

「右クリック禁止」のような生成への心理的ハードルを上げる作戦

古のインターネットにあった「右クリック禁止」と同様、本気で保存しようと思えば方法はあったけれど、「めんどくさいな」と思わせる作戦です。

今回のプロンプトインジェクションも、それに近い役割を果たせることもあるのかな、と感じています。

• 「この人の画像、読み込ませると変な挙動をするからめんどくさい」
• 「一回やってみたら変な画像が生成されて、えらい目にあった……」

そう思わせるだけでも、無断で使用されたくない……という目的を果たすことにつながってくるのかな、と思います。
生成AIを使う人は、基本的には「少しでも手軽に自分好みのものを作りたい」はず。
だからプロンプトを研究して、試行錯誤を繰り返しているのだと考えています。
なので、わざわざ防御を固めていて、追加で試行が必要になる人の画像を苦労して解析するより、何も対策していない人のところへ行く……となるのではと思います。

文字はどう仕込むのがいいか

自分がやるならの案を残しておきます。

• 模様や背景にこっそり混ぜる： 人間には読みづらいけど、AIには読める絶妙なライン

• 小物として配置する： イラストの中のノートや新聞に、こっそり文言を書いておく
• 手書きで「No AI」： グラレコなどの文字がメインのコンテンツなら、あえて手書きで色んな場所に置いておくのも良さそうです

複合防衛を活用する

結局のところ、プロンプトインジェクションもこれ一つで完璧！という魔法の杖ではありません。
だからこそ、色々な対策を組み合わせたうちの一つとして使うのが現実的かな、と思っています。

1. プロンプトインジェクションでAIの挙動を乱す
2. 生成阻害フィルター（ノイズ）で学習しにくくする
3. ウォーターマークを顔などの重要な部分に、除去しにくい形で重ねる

こうやって多層防御を張ることで、無断生成のターゲットにされる可能性を削っていく。
「あ、これ以上は触らないほうがいいな」と思わせられるとよさそうです。

過去、どんなウォーターマークなら防御策になるかな……ということも考えたことがあるので、置いておきます。
https://qiita.com/sigure_sizumiya/items/fc27b20583ed74cff88a

スキャンを防止する技術: ユーリオン

スキャンを禁止する図形を同人誌にしこむ用の配布をしてくださっている方がいました。
生成AIとは少しズレるかもしれませんが、スキャンを用いた無断利用をさせないようにしたい……という防護策として、こういった手法もあるようです。

多重防御の一つとして、こういう対策方法もあると知っておくのはいいかなと思います。

おわりに

人間同士で「これはやめてね」「いいよー」と会話が通じるのが一番なのですが、話が通じない相手の場合は、その助っ人であるAIを味方につけるというやり方もありかもな……と思いました。

私も生成AI自体の恩恵は受けて生活しているので、生成AIすべてを否定するものではありませんが、私は自分のイラストについては、生成AIに利用されたくないという意思表示を、生成AIにわかる形でしてみる……という手段もアリなのかなと思います。